Protection des données personnelles : comment se conformer au nouveau règlement européen ?

Le 14 avril dernier, le Parlement européen adoptait le règlement européen sur la protection des données personnelles (UE 2016/679), qui devra être mis en application dans les différents pays avant mai 2018. Ce règlement impliquera de profonds changements dans les systèmes d’information des entreprises. Ce qui laisse peu de temps aux organisations pour se conformer aux nouvelles normes établies par l’UE.

L’accord trouvé fait suite aux recommandations livrées par le G29 (Groupe de travail « Article 29 » sur la protection des données) qui visent à mieux encadrer les conditions d’accès aux données personnelles des Européens. Il succède à la directive de 1995, dont on a pu constater les limites ces dernières années suite aux différentes affaires de fuites de données.

 

Un règlement qui élargit les droits des citoyens européens

 

Le nouveau règlement européen sur la protection des données personnelles établit plusieurs droits fondamentaux pour les citoyens européens en même temps qu’il leur donne plus de contrôle sur leurs données personnelles. Il inclut :
– la protection des mineurs ;
– le droit à l’oubli ;
– une plus grande transparence ;
– la portabilité des données d’une plateforme à une autre ;
– un guichet unique par pays en cas de problème ;
– des sanctions renforcées pour les entreprises allant jusqu’à 4% du CA mondial en cas de manquement.

 

« Privacy by design » et « privacy by default » obligatoires

 

Les entreprises devront intégrer ces notions pour tout nouveau système d’information manipulant des données. Pour cela, elles devront s’appuyer sur la mise en œuvre du « privacy by design » (ou la protection des données dès la conception) et du « privacy by default » (ou la protection des données par défaut) qui imposent aux entreprises de proposer des produits et des fonctionnalités collectant, dès la conception, le moins de données personnelles possibles.
Elles devront également nommer un Data Privacy Officer (ou Data Protection Officer) au sein de leur structure. Ce dernier devra s’assurer du bon respect du nouveau règlement dans l’entreprise. Il sera la personne auprès de laquelle tous les organismes de protection des données (CNPD, Cnil, …) pourront se référer en cas de litige.

 

Nouveau règlement = nouvelles architectures SI

 

Les architectures traditionnelles conçues en silos de données (voir figure 1) gagneront à être repensées. D’une part, il apparaît très difficile dans ce contexte que les différentes applications implémentent correctement le règlement. D’autre part, les demandes d’accès aux données par les clients se révèleront vite un casse-tête pour les entreprises puisqu’elles nécessiteront une recherche système par système, application par application. Un travail laborieux en perspective.
Pour faciliter la mise en oeuvre du nouveau règlement européen au Luxembourg, des sociétés de services travaillent actuellement à l’implémentation de patterns (voir figure 2) qui se grefferont directement au SI déjà en place et qui seront chargés de collecter et contrôler les bases de données à travers les différents silos. Cette nouvelle architecture permettra de répondre plus facilement aux nouvelles exigences du règlement européen.

 

Nouveaux services innovants

 

Un autre modèle d’architecture est également possible, comme celui imaginé par la start-up fair&smart par exemple (voir figure 3). En établissant un lien avec les bases de données stockant des informations concernées par le nouveau règlement européen, elle propose aux entreprises de se conformer à ce dernier via un service clé en main au travers duquel les utilisateurs pourront à tout moment consulter et récupérer les informations qui les concernent. Les entreprises, elles, conserveront l’essentiel de leur SI existant. Mais la principale innovation réside dans le fait que les utilisateurs pourront reprendre le contrôle sur leurs données, en les mettant eux-mêmes à jour et en déterminant quelle organisation peut y accéder (voir figure 3).

Ce nouveau type de services entend répondre à la fois aux exigences européennes et à la volonté de plus en plus affirmée des consommateurs de reprendre la main sur leurs données personnelles. Les mois et années à venir devraient donc voir se dessiner de nouveaux services autour de la protection des données personnelles. Reste à savoir si les petites, moyennes et grandes entreprises luxembourgeoises seront séduites, et qui sera pionnier ou suiveur vis-à-vis des opportunités offertes par cette redéfinition des relations entre les organisations et les particuliers.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *